《立足现状,提高计算机网络安全防护水平》由会员分享,可在线阅读,更多相关《立足现状,提高计算机网络安全防护水平(4页珍藏版)》请在金锄头文库上搜索。
1、中国通信学会第五届学术年会论文集立足现状,提高计算机网络安全防护水平时华( 武汉市、通行指挥学院六系2 0 队4 3 0 0 3 5 )随着计算机网络的发展,网络信息战在现代战争中的地位越来越重要,我国的网络技术较之西方国家起步较晚,但发展速度却很快。网络的飞速发展同时也带来了网络的攻击和反攻击。如何防护网络,这已成为迫在眉捷的问题了。1计算机网络战的主要特点网络战的主要形式一是以窃取重要情报为目的的网络间谍战,其主要目标包括金融、民航、军事指挥、通信以及电力系统;二是以破坏电脑为目的的网络进攻战和保卫电脑网络为目的的网络防御战;三是以不易察觉的方式打入对方网络改变网络信息,甚至制造假信息;四
2、是利用网络这一遍及世界的媒体开展舆论战。计算机网络战作为一种新型作战样式,它具有以下四个特点:一是隐蔽进攻性。计算机网络战手段非常隐蔽,多在计算机网络遭到破坏时才被发现,不易防范。当一个国家或军队受到网络攻击时,由于此类攻击事先没有明显征兆,对于何人、何时、何地发起攻击诸如此类的问题很难做出准确判断。二是潜伏破坏性。例如计算机病毒、“逻辑炸弹”等,都有确定的发作时间,在这之前一直处于潜伏状态,战时一旦需要,便可被激活,发挥作用,轻则干扰计算机网络正常工作,重则使整个网络失灵、瘫痪、甚至还可能制造假信息,不分敌我,盲目攻击,后果不堪设想。三是全民皆兵性。随着计算机网络技术的发展,在计算机网络战场
3、上,安全人员与平民的界限已被打破,平民百姓也可以轻而易举地参战,使计算机网络战场上呈现出全民化的趋势。四是计算机网络的自身脆弱性。计算机网络战是系统性对抗,攻击对象是以计算机为核心的计算机网络系统。它是无数台计算机、局域网相互联接而成的一个有机整体,攻击点可能是某个作战平台或节点上的设备,但攻击效果不再是单机发生故障,而是造成整个网络的功能紊乱、甚至瘫痪。而且,计算机网络系统越先进,结构越复杂, 、 自身脆弱性越明显。2 我国计算机网络防护存在的不足计算机网络的防护能力是由计算机设备、网络和系统的战技性能以及管理人员的素质决定的。与发达国家相比,我国计算机网络系统的不安全因素是比较突出的。主要
4、表现是在如下方面。2 。1基础设施建设水平低目前,我国计算机网络的基础设施还比较差。在线路的抗毁性方面,我国目前尚未建立有线、无线、卫星相结合和平战结合的多层次的立体网络,各战区基本上采取有线电路,备份迂回路由少,某一线路一旦阻断,指挥信息就无法传递。另外,在网络建设和操作系统等重要领域,都缺乏自主产品,容易受制于人,从而影响整个网络系统的安全。同时,一旦打起仗来,另配件将无法得到保障。3 1 6 第。2 部分密码学与信息安全2 2 技术措施相对薄弱一是我国绝大部分单位尚未使用防火墙技术,缺乏网络信息系统的对外安全屏障,难以防止外部网络对内部网络的非授权访问。二是我国目前尚未配备网络入侵侦测和
5、漏洞检测系统,对“黑客”的攻击缺乏有效的防护能力。三是对计算机病毒的防治,缺乏有力的技术措施。目前全军还没有自主版权的计算机防病毒软件;有的单位即使安装了防病毒软件,也是从地方购买的,存在着很多质量问题,因此造成计算机病毒泛滥成灾。四是在数字签名技术上,发展滞后,未能广泛应用于部队,使得我国在信息防泄密上还存在着很大隐患。2 3 管理制度亟待完善由于近几年来,网上交流、网上办公、网上教学等已成为很普遍的事情,人们的工作和生活上的许多事情都通过网络来进行。我国的计算机网络已由原来的D E C n e t 网发展到现在的I n t e m e t 网,在网络安全管理上发生了巨大的变化,这就带来了许
6、多新的不安全因素,以前的安全管理制度显得陈旧,已不适应形势发展的要求。2 4 专业技术人才匮乏“人机结合存在着差距。由于计算机网络技术发展迅速,造成计算机网络专业技术人才供不应求。一是精通专业的不太多,二是懂得计算机网络防护的人少,三是人才流失大。由于部队编制体制和别的原因,使得下大力培养出来的人才,很难保留。3 网络防御的手段与方法针对计算机网络所存在的问题,要保证网络的安全,提高我国计算机网络防护能力,我认为必须从以下几个方面入手。3 1 选用安全口令据统计,大约8 0 的安全隐患是由于口令设置不当引起的。在我国计算机网络中这个问题非常突出,口令一经设定,一年半载不改,很多口令用的是用户的
7、姓名、生日和电话号码,有些用的是常用单词,有的非常规则,有的数台计算机用的是同一个口令,甚至许多计算机没有口令或者是系统默认口令。对此,首先我们应定期更换口令,而且必须避免重复使用旧口令。其次,安装某些系统服务功能模块时有内建帐号,应及时修改操作系统内部帐号口令的缺省设置,应及时取消调离或停止工作的工作人员的帐号以及无用的帐号。最后,在 通过网络验证口令过程中,不得以明文方式传输,不得以明文方式存放在系统中,确保口令未被监听截取。3 2 谨慎开放服务端口很多黑客攻击程序是针对特定服务和特定服务端口的,所以关闭不必要的服务和服务端口,能大大降低遭受敌人攻击的风险。但实际情况往往是我国计算机网络的
8、服务和端口都是采用系统默认值,很少有人会去修改 和调整,这必然带来很大的安全隐患。下面本人就以N T 和懈为核心的操作系统的安全配置谈谈自己的看法。N T :将默认的M i n kP ) ( ,S P X 传输协议去掉;在T C P 口协议属性里,启用安全机制。如果没有特别需求可将所有U D P 端口关闭。I ,H D ( :关闭I 烈的r S e r v i c e s ,如r l o g i I l 和r f m g e r d 等。此外,最好将e t c l l o s t S e q u i v 和r h o s t s 文件删除,修改,e t c s e r v i c e s 和,
9、e t c i n e t d c o n f 文件,将不必要的服务去除。,。3 1 7 。中国通信学会第五届学术年会论文集3 3 制定完整的网络安全管理操作规范再完善的安全体制,没有足够的安全意识和技术人员经常维护,安全性将大打折扣,但在我国很多单位,基本上没有专人维护和保障网络的安全稳定,而网络的使用者则缺乏必要的安全知识和技术,使得本来就很脆弱的网络又增加了很多人为的安全隐患。因此要制定一整套完整的网络安全管理操作规范,我国现行的计算机网络安全规定,已不能适应计算机网络的飞速发展,应该组织专门力量,对其进行修改和补充。3 4 进行动态站点监控利用网络管理软件对整个局域网进行监控,发现问题
10、及时防范。实践证明,这是一个行之有效的防范手段。我认为应该建立一个全国计算机网络检测体系,随时随地对我国计算机网络的运行情况和安全措施实施监控,这不但可以及时发现网络的不安全因素,而且对保证网络的正常运行有很大的帮助。3 5 谨慎利用共享软件,不使用盗版软件不应随意下载使用共享软件,更不要使用盗版软件。有些程序员为了调测软件的方便都设有后门,这往往成为敌方最好的攻击后门。而盗版软件中常常带有致命的病毒,或存在重要的缺陷。这个问题在我国计算机网络中是非常突出的,根据我的观察,不使用共享软件或盗版软件的计算机几乎没有,其实这也是我国计算机行业长期存在的问题。3 6 做好数据备份工作这是非常关键的一
11、个步骤,有了完整的数据备份,我国计算机网络在遭到攻击或系统出现故障时才可能迅速恢复。因为没做好备份工作而导致损失惨重的例子实在太多了,但我国计算机网络的数据备份工作做得很不够,很多重要的数据根本没有备份,如果遭到破坏后果将非常严重。3 7 使用防火墙防火墙是防止从网络外部访问本地网络的所有设备,它们防止外部攻击提供了重要的安全保障。但防火墙只是所有安全体系结构中的一个部件,故不能完全依赖防火墙。防火墙分为网络级防火墙和应用网关防火墙。网络级防火墙一般是具有很强报文过滤能力的路由器,可以改变参数来允许或拒绝外部环境对站点的访问,但对欺骗性攻击的防护很脆弱。应用代理防火墙( 应用网关) 的优势是它
12、们能阻止P 报文无限制地进入网络,缺点是它们的开销比较大 且影响内部网络的工作。代理必须为一个网络应用进行配置,包括H 兀P ,同阳肥I M 玎、电子信箱、新闻组等。从我国的现状来看,我国的计算机网络攻防能力,不仅不能与国外比,而且同地方上相比也有明显的差距,突出表现在经费投入不足,人员技术水平较低,研究还不够深入等方面。为此我提出本人的几点建议。1 成立专门的网络攻防研究机构,提高网络攻击和防护能力虽然国内研究计算机网络攻防的单位有不少,但往往各自为政,比较分散,没有形成合力,我认为必须成立一家高层次的网络攻防研究机构,集中全国优秀的网络攻防方面的人才,对重点技术、重点课题进行专项研究,并将
13、研究成果首先运用于军队计算机网络。我国要把网络作战部分队作为一个全新的兵种进行建设,加大人力物力的投入,在有关院校设立网络攻防专业,培养大量这方面的人才。3 1 8 第2 部分密码学与信息安全2 统一发放网络安全产品,定期检查网络安全状况我国计算机网络的安全维护工作现在仍处于各自为政的状况,安全措施的建立和安全产品的使用随意性很大,可能十个单位就有十种安全产品,十类安全措施,这样既浪费了人力物力,而且效果并不好。我觉得我们应努力使用统一的安全产品,如同一种防火墙,同一种杀毒软件。而且这种安全产品不能选用商用产品,而要针对我国计算机网络的情况量身定做。对网络安全状况要定期分析与检查,随时发布安全
14、信息和措施。可以利用三期网对安全产品进行升级,将网络安全信息发布给每一个用户。3 我国计算机网络进行升级和改造我国计算机网络建成有好些年了,软件、硬件有的已经过时,有的存在严重的安全问题,还有部分线路老化,这些都严重威胁着我国计算机网络的安全。同时我国计算机网络运行情况让人担忧,运行速度慢,跨地区速度甚更慢,而且极不稳定,经常中断。因此必须下大力气进行升级与改造,排除不安全的因素,提高网络带宽与速度,增强网络运行的稳定性,只有这样才能称得上是真正意义上的计算机高速宽带网。4 建立健全网络安全管理规定,切实加强计算机网络安全管理虽然全军范围内及各有关单位都制定了很多网络安全管理规定,但都不是很完善,还不能适应计算机网络的飞速发展和不断涌现的新情况、新问题的需要,往往是该严的地方不严,该放的地方不放。很多管理规定只是出于管理者的方便而忽视了网络自身发展的规律,在一定程度上妨碍了我国计算机网络的发展。而随着我国网络的深入发展和进一步建设,对于出现的许多带有普遍性的问题,却没有相应的管理规定,使之处于无政府状态。建议全国颁布一个权威的计算机网络安全管理条例,这个条例要切实根据我国的实际情况,吸收借鉴国外和地方的先进管理经验,适应新时期军事斗争和计算机网络发展的需要,并紧跟时代的发展不断完善和充实,真正成为我国计算机网络安全管理的指南和依据。3 1 9
